Op 25 mei 2018 is de AVG in werking getreden die de richtlijn 95-46-EG heeft vervangen en daarmee een groot deel van de huidige EU-wetgeving betreffende persoonsgegevensbescherming. De Wet bescherming persoonsgegevens (Wbp) is niet langer meer van kracht. De AVG borduurt voort op de hierboven genoemde richtlijn, zodat een groot deel van de bestaande wetgeving niet wezenlijk veranderd, maar herbergt tevens enkele ingrijpende wijzigingen die op een adequatere bescherming van het data-subject gericht zijn. In deze blog bespreken we wat de Europese wetgever lijkt te verstaan onder het ‘vrijelijk geven van toestemming’, en of artikel 7 lid 4 van de AVG een (impliciet) verbod op ‘tying’ inhoudt.
Toestemming onder de AVG: opt-out is niet voldoende!
Toestemming in het dataprotectierecht is in beginsel een manier om het data-subject controle te geven over de wijze waarop zijn of haar persoonsgegevens wordt verwerkt.
De verordening definieert toestemming in artikel 4 (11) als:
‘elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt’
Er moet dus sprake zijn van een verklaring of een duidelijke actieve handeling (een opt-in in plaats van een ‘opt-out’) en de toestemming dient ook geïnformeerd te zijn. Toestemming is alleen ‘geïnformeerd’ indien het individu zich ten minste bewust is van de identiteit van de onderneming die als ‘data verantwoordelijke’ fungeert en de doeleinden van de verwerking van zijn of haar persoonsgegevens.
Vrijelijk geven van toestemming
Zoals uit het artikel blijkt vindt de wetgever het tevens van belang dat de toestemming vrijelijk is gegeven. ‘Vrij’ betekent dat het individu een daadwerkelijk vrije keuze moet hebben om wel of niet toestemming te verlenen voor de verwerking van zijn of haar persoonsgegevens en in staat moet worden gesteld om toestemming te weigeren dan wel te herroepen zonder enig nadeel. Er mag dus geen dwang worden uitgeoefend, noch mogen er negatieve gevolgen zitten aan het geven of intrekken van de toestemming. Een voorbeeld: als je als klant alleen toegang tot een website krijgt indien je toestemming geeft voor het gebruiken van jouw GPS-locatie (het gebruik van de website dus afhankelijk is van de toestemming) kan er geen ‘vrije toestemming’ worden gegeven.
Tying
Paragraaf 4 van artikel 7 van de verordening voegt daar, naar mijn mening, impliciet een verbod op ‘tying’ aan toe. Het artikel stelt dat, bij de beoordeling van de vraag of toestemming vrijelijk is gegeven:
‘wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.’
Alhoewel er geen expliciet verbod is opgenomen door de wetgever, lijkt het in de praktijk wel erg lastig te worden om rechtsgeldige toestemming te kunnen geven (én ‘ontvangen’) voor de verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van de overeenkomst. In andere woorden: je kan iemand niet vragen om toestemming te geven voor de verwerking van meer data dan voor de uitvoering van een contract noodzakelijk is. Dit zou in de praktijk betekenen dat er voor dit ‘meerdere’ apart toestemming gegeven dient te worden. Hoe dit artikel precies uitgelegd zal worden, valt nog te bezien. De tijd zal het leren.
